一个安全基于任务描述移动代理系统.docVIP

一个安全基于任务描述移动代理系统 　　摘 要：为解决移动代理技术中的安全问题提出了一种全新的基于任务描述的移动代理定义和实现方法，据此设计并实现了一个安全的移动代理系统。该系统通过中介/管理Agency统一派发代理，借鉴Java 2安全模型进行本地资源保护，利用信任模型管理并调整系统中平台之间的信任关系。它可以保证平台的安全，也可以利用事后的检测手段发现对代理的攻击，同时利用信任模型调整对恶意平台的信任度来维护整个系统的安全运行。 　　关键词：移动代理；安全；任务描述；中介/管理Agency；信任模型 　　中图分类号：TP311文献标志码：A 　　文章编号：1001―3695(2007)03―0152―05 　　移动代理是指一种能在异构计算机网络中自主迁移并能够代表其所有者完成一定任务的程序。它与传统客户/服务器模式和其他移动代码技术相比，具有自治性、主动性、移动性和适应性等优良性质，且具有广泛的应用领域。但是困扰移动代理技术的一个主要问题是安全问题，即保护平台不会遭到来自代理的攻击、保护代理在平台上运行时不会遭到来自平台的攻击。安全问题不解决必将阻碍移动代理技术快速、广泛地发展和应用，因此研究移动代理技术的安全问题具有极其重要的意义和价值。?? 　　目前对于移动代理的安全问题已经有了一些相应的解决措施，如保护平台的安全可以采用错误域隔离、安全的代码解释和使用带有证明的代码等；对于保护代理可以采用执行跟踪和使用加密函数进行计算等方法。虽然上述方法在一定程度上均分别保护了平台和代理，但是它们仍存在不足，如不够灵活、有太强的应用限制等。本文的工作就是针对目前移动代理技术中安全问题难以解决的现状，提出了基于任务描述的移动代理概念，并在此基础上构建了一个安全的移动代理系统――基于任务描述的移动代理（Task Description―Based Mobile Agents, TDBMA）系统。在TDBMA系统中，移动代理实现为对代理要在各平台上执行任务进行描述的XML形式的数据包，使用特殊的代理平台――中介/管理Agency统一派发代理。代理平台使用Java 2的安全模型进行本地资源保护，并且使用信任模型来管理并调整系统中平台间的信任关系。本文分析了使用基于任务描述的移动代理的可行性，并论证了TDBMA系统的安全性。为便于区分，本文称人们目前普遍认可的、经典的移动代理为主流的移动代理，而对于本文新提出的移动代理称为基于任务描述的移动代理。?? 　　 　　1 主流移动代理技术中的安全解决方案?? 　　 在移动代理系统中，安全问题主要分为对代理和对代理平台的保护。目前保护代理平台的技术有：①沙箱方法（Sandbox）[1]，它限制到来的移动代理的访问，但访问限制过于严格。②安全的代码解释（Safe Code Interpretation），它使用解释性的脚本或程序设计语言来开发系统，如SafeTcl[2]，从而可以分析代理指令的安全性，但要分析多条指令组合的安全性比较困难。③使用带有证据的代码（Proof―Carrying Code，PCC）[3]，它允许平台有效地证明到来的移动代理不会危害平台。目前已经有了一些PCC的实现，如Touchstone系统[4]能够自动生成安全证据并且适用于大型程序，但是它的验证器代码非常难以理解和信任；Foundational Proof―Carrying Code(FPCC)[5]试图通过去掉证明条件生成器来把需要信任的计算库减到最小并且提高灵活性，但是FPCC的实现是非常困难的；G.C. Necula提出可配置的带有证据的代码框架（Configurable Proof―Carrying Code,CPCC）[6]，试图同时具有Touchstone的有效性、可扩展性、易开发性和FPCC增强的可信性和灵活性，但目前还没有该系统的具体实现。④路径历史（Path Histories）[7]，它代理维护一个对以前访问过的平台的可验证记录，使得新访问的平台可以根据该记录来决定是否要处理该代理以及要使用什么样的资源限制；其缺点是路径验证工作的开销大并且该技术要依赖于平台能够正确判断是否信任代理访问过的平台的能力。?? 　　保护代理的技术有：①加密踪迹（Cryptographic Traces）[8]，它通过对代理在迁移过程中收集的数据的事后分析来检测对代理的非法修改，但它无法准确定位攻击者；②状态评价（State Apprai￣sal）[9]，它可以保护代理的动态组件尤其是执行状态，但该方法无法检测出攻击者；③使用抗干预设备（Tamper―Proof―Devices）[10]，它是基于硬件的方法，不适用于开放环境；④使用加密函数进行计算（Computation with Encrypted Fun